GUIDA Rimozione del virus del collegamento dalle chiavette USB

Pubblicità

Eren88

Utente Èlite
Messaggi
1,905
Reazioni
837
Punteggio
111
Il virus del collegamento nelle chiavette USB è un virus che da oltre 10 anni con le sue varie evoluzioni crea disagi e problemi a molti dato che il più delle volte è irrilevabile dai programmi Anti-virus ed Anti-malware ed è molto ben nascosto.
Nonostante in rete ci sono parecchie guide che promettono di rimuoverlo gran parte di queste sono o datate, quindi facenti riferimento ad una vecchia versione del virus, oppure sono appositamente scritte per invogliare a scaricare il programmino magico che promette di risolvere tutto (e puntualmente non lo fa).

Quindi ho voluto scrivere questa guida che vi permetterà di rimuovere il virus dal computer e di ripulire le unità USB recuperando anche i dati all'interno.
Tutti i passaggi sono spiegati in modo da poter essere eseguiti nello stesso modo su Windows 7, 8, 8.1, 10 e 11.

Qui c'è l'immagine di come si presenta una chiavetta USB infetta:

1.jpg

PULIZIA DELLA CHIAVETTA:
Se avete inserito la chiavetta nel computer, avete visto il collegamento e NON lo avete cliccato allora il computer non è infetto e occorrerà solo ripulire la chiavetta:

RECUPERO DEI DATI: (se non vi interessa recuperarli potete saltare questo passaggio e formattare direttamente)
Per recuperare i dati vi basterà premere "WIN+R", digitate "control folders", andate nella scheda "Visualizzazione" e mettete la spunta su "Visualizza cartelle, file e unità nascosti" e toglietela da "Nascondi file protetti di sistema (consigliato)", cliccate su Applica, Ok e ora la chiavetta vi si presenterà così:

2.jpg

I file presenti nella chiavetta sono nella cartella evidenziata in rosso, non vi basterà che aprirla e copiare tutti i file al suo interno nel computer e avete recuperato tutto.
Una volta fatto reimpostate come prima le opzioni di visualizzazione e potete procedere con la formattazione.

FORMATTAZIONE:
Ora andate su Computer (o Questo PC), cliccate col tasto destro sulla chiavetta infetta e selezionate la voce "Formatta", lasciate le opzioni predefinite e premete su "Avvia".
Una volta terminata la formattazione la vostra chiavetta sarà come nuova e avete finito.

RIMOZIONE DEL VIRUS DAL COMPUTER:
Se invece avete cliccato sul collegamento bisognerà anche procedere alla rimozione del virus dal computer.
Il virus solitamente si annida nelle attività pianificate, per analizzarle in modo comodo scaricate il software Autoruns, eseguitelo come amministratore e recatevi nella sezione "Scheduled Tasks":
3.jpg
Ora dovete rimuovere la spunta dalle attività segnate in rosso:
  • BSoftware Update Service
  • WinSoft Update Service
ATTENZIONE: nel caso che ho testato nella macchina virtuale (e anche in gran parte dei casi che si sono visti nel forum) le attività sono queste due (o una delle due), ma dato che questo virus è in continua evoluzione potrebbero essercene altre, per identificarle non c'è un metodo certo ma analizzando le attività pianificate prestate particolare attenzione a queste cose:
  • Attività con publisher not verified (le righe con lo sfondo rosso), cioè quelle attività che richiamano programmi non firmati digitalmente, quindi di cui non si può sapere l'autenticità. (naturamente questo non implica che non siano sicure, ma consiglio di controllarle per prime)
  • Attività che richiamano Powershell
  • Attività che richiamano Python
In questa discussione per esempio è stato necessario anche rimuovere queste attività che richiamavano Powershell:
  • UninstallSMB1ClientTask
  • UninstallSMB1ServerTask
Una volta rimosse le attività riavviate e provate ad inserire la chiavetta che avete ripulito, se non viene creato nessun collegamento siete apposto e dovrete solo andare ad eliminare le cartelle che contenevano gli exe del virus e controllate che in C:\Windows\ non ci sia un file denominato "RuntimeBroker .exe" (con lo spazio prima di .exe), se c'è cancellate anche lui dato che il nome corretto è "RuntimeBroker.exe" e non dovrebbe nemmeno trovarsi lì ma in System32.

Ora pulite i file temporanei, premete quindi WIN+R, digitate "temp", eliminate tutto quello che trovate all'interno e fate la stessa cosa con %TEMP%.

ALTRE INFORMAZIONI:
Quello che probabilmente vi starete chiedendo ora è "Ma questo virus serve solo a dare fastidio? Qual è lo scopo?" e me lo sono chiesto anche io. Indagando un po' ho trovato questa pagina da cui si può scaricare un report in cui dei ricercatori hanno analizzato nel dettaglio come si diffonde il virus e cosa fa esattamente, ed è venuto fuori che il virus manda delle informazioni sulla rete a cui è connesso il computer, sulla geolocalizzazione e altre informazioni private, in più nella macchina virtuale che ho usato per fare il test ho notato dei consumi anomali di CPU quindi potrebbe anche esserci dell'altro.
A mio avviso il report è molto interessante, quindi se vi va vi consiglio di leggerlo
 
Ultima modifica:
Pubblicità
Pubblicità
Indietro
Top